谷歌Chrome的“混合內(nèi)容”更新將會影響電商網(wǎng)站，自建站賣家如何應(yīng)對？

據(jù)悉，谷歌Chrome已于10月7日宣布了可能影響電子商務(wù)網(wǎng)站的重要更改。

這些更改解決了網(wǎng)頁上的“Mixed Content”（混合內(nèi)容）問題。除了文本之外，典型的web頁面還包括圖像、音頻文件和視頻。額外的非文本資源通常作為HTTP請求而不是HTTPS加載。HTTP請求會造成安全風(fēng)險，谷歌的目標(biāo)是在即將到來的更改中糾正這一風(fēng)險。

Chrome 77是目前較穩(wěn)定的版本。更改將在三個月內(nèi)進行，如下所示。

（1）2019年12月，Chrome 79版本將提供用戶設(shè)置以覆蓋Chrome 80和81的默認(rèn)更改，這兩個版本計劃在2020年1月和2月發(fā)布。

（2）2020年1月，Chrome 80將強制升級音頻和視頻資源以使用HTTPS。如果未將其作為HTTPS加載，Chrome將阻止他們。用戶可以使用在Chrome 79中引入的設(shè)置取消阻止，但是導(dǎo)航欄仍會針對不安全的資源顯示“不安全”警告。

（3）2020年2月，Chrome 81將強制升級圖片至HTTPS。如果未以HTTPS的方式加載，Chrome將會阻止它們，同樣，用戶也可以解除阻止。

建議賣家請遵循以下步驟，以確保這些更改不會影響你未來的電子商務(wù)銷售。

1、檢測混合內(nèi)容

任何網(wǎng)站，無論是電子商務(wù)還是其他網(wǎng)站，都應(yīng)以HTTPS加載。

混合內(nèi)容會給最終用戶帶來隱私和安全問題，因為它可能會將信息泄漏給潛在的攻擊者。大多數(shù)瀏覽器會自動阻止代碼執(zhí)行資源，如腳本和iframe。但是圖像、音頻和視頻仍然沒有被屏蔽。這種情況將從明年1月開始改變。

Chromium博客在10月3日的帖子中解決了該問題。

“瀏覽器默認(rèn)情況下會阻止許多類型的混合內(nèi)容，如腳本和iframe，但是仍然允許加載圖像、音頻和視頻，這將威脅到用戶的隱私和安全。例如，攻擊者可以篡改圖表的混合圖像誤導(dǎo)投資者，或者將跟蹤cookie注入混合資源負載中。加載混合內(nèi)容還會導(dǎo)致瀏覽器安全UX的混亂。”

你可以檢查你的網(wǎng)站是否有混合內(nèi)容。瀏覽頁面并在地址欄中尋找“鎖定”圖標(biāo)。當(dāng)出現(xiàn)混合內(nèi)容時，它會更改信息圖標(biāo)(“i”)。

你可以通過Chrome開發(fā)者工具的“Network”標(biāo)簽在搜索框中輸入“mixed-content”以獲得混合內(nèi)容資源列表。

手動檢查每個電子商務(wù)網(wǎng)站頁面是不可行的。 Screaming Frog（尖叫青蛙）、DeepCrawl（深度爬蟲），或類似的網(wǎng)絡(luò)爬蟲可以代為處理這些繁雜的工作。

如果要在Screaming Frog中進行檢查，請對你的網(wǎng)站進行爬網(wǎng)，然后轉(zhuǎn)到Reports>Insecure Content。這一步驟將列出未安全加載的資源。

Screaming Frog和其他網(wǎng)絡(luò)爬蟲只能檢查你的網(wǎng)站鏈接的頁面。他們不會將商品添加到你的購物車中，也不會遵循結(jié)賬渠道。為此，請手動跟蹤結(jié)帳渠道，同時注意地址欄中的鎖定或信息圖標(biāo)。

2、如何修復(fù)？

有幾個方法可以修復(fù)混合內(nèi)容。如果你的網(wǎng)站未加載來自第三方網(wǎng)站的圖像、音頻和視頻，則只需將所有資源URL設(shè)為相對。例如，使用/image/product.png而不是http://www.sitestore.com/image/productA.png。相對URL將始終正確解析。

如果你在未啟用HTTPS的情況下將這些資源托管在第三方站點中，請考慮制作副本，從站點加載這些資源并相應(yīng)地更新鏈接。

另一個方法是設(shè)置web服務(wù)器以使用內(nèi)容安全策略，該策略將告訴web瀏覽器哪些內(nèi)容是允許的，哪些是不允許的。

CSP中有許多潛在的指令。在某個場景中，我們對“upgrade-insecure-requests”感興趣。當(dāng)web服務(wù)器指定該指令時，瀏覽器將通過HTTP響應(yīng)標(biāo)頭強制使用HTTPS加載所有資源，如下所示：

Content-Security-Policy: upgrade-insecure-requests（內(nèi)容安全策略：不安全升級請求）

最后一個方法是手動修復(fù)鏈接的源代碼。這需要做更多的工作，但可以避免瀏覽器兼容性問題。

（編譯/雨果網(wǎng) 呂曉琳）

【特別聲明】未經(jīng)許可同意，任何個人或組織不得復(fù)制、轉(zhuǎn)載、或以其他方式使用本網(wǎng)站內(nèi)容。轉(zhuǎn)載請聯(lián)系：editor@cifnews.com